Applicazioni. Cosa si intende per sicurezza di uno schema di un MAC? Dobbiamo definire. Autenticità del messaggio M Integrità del messaggio M

Transcript

1 !"### "$ " %& Applicazioni Autenticità del messaggio M Integrità del messaggio M 1 ' 2 Easy computation: dato un valore M e la chiave K, MAC(K,M) è facile da calcolare Compression: M di lunghezza finita, output di lunghezza fissata Computation-resistance: data una o più coppie MAC(K,M i ), non è possiile calcolare un nuovo MAC(K,M j ), M i M j Key non-recovery: data una o più coppie MAC(K,M i ), non è possiile calcolare K 3 ( MAC fornisce solo autenticazione ed integrità si vuole confidenzialità, si può cifrare primadopo con una diversa chiave condivisa K Cosa si intende per sicurezza di uno schema di un MAC? Doiamo definire Tipo di attacco Scopo dell attacco 4 5

2 Total reak Determinare la chiave K lective forgery Dato un messaggio M, determinare y tale che y=mac(m,k) Existential forgery Determinare una coppia (M,y) tale che y=mac(m,k) 6 Known Message Attack Oscar conosce una lista di messaggi ed i relativi MAC Chosen Message Attack Oscar sceglie dei messaggi e chiede ad Alice (o Bo) di computarne i MAC Adaptive Chosen Message Attack Come nel Chosen Message Attack, ma le scelte dipendono dalle risposte precedenti 7 ) ) Date le coppie (M i,y i ), con y i =MAC(M i,k), determiniamo K Supponiamo che sia k > n Prova tutte le 2 k chiavi sulla coppia (M 1,y 1 ): circa 2 k-n match Prova le 2 k-n chiavi precedenti sulla coppia (M 2,y 2 ): circa 2 k-2n match In generale, se k= n, necessari circa round Dato M determiniamo y=mac(m,k), senza conoscere K Scegli a caso y, pro. successo: 12 n Ma come controlliamo che sia il valore giusto, senza avere K? Esempio: k=80 it, n=32 it Round 1: circa 2 48 match Round 2: circa 2 16 match Round 3: 1 match trovata! 8 9 ) * Sforzo computazionale richiesto: min(2 k, 2 n ) Raccomandazioni: min(k,n) 128 M=X 1 X 2 X m concatenazione di locchi di 64 it M=X 1 X 2 X m MAC(K,M)=E K ( M) con DES ECB Il messaggio spedito è: M MAC(K,M) Attacco a forza ruta: osservando M MAC(K,M) determino la chiave K Necessarie 2 56 crittografie Altro attacco: Y m =Y 1 Y 2 Y m-1 M Posso costruire un altro messaggio M = Y 1 Y 2 Y m-1 Y m M MAC(K,M) è un messaggio valido 10 11

3 ! +, MAC asati su cifrari a locchi CBC-MAC MAC asati su funzioni Metodo del segreto prefisso Metodo del segreto suffisso HMAC MAC from scratch MAA, MD5-MAC 12 Cipher Block Chaining (con IV=0) Uno dei più usati (FIPS PUB 113 e ANSI X9.17) Testo X = X 1 X 2 X n diviso in locchi di 64 it IV DES x 11 x 22 k k k DES x nn DES MAC Valore troncato: da 16 a 64 it più a sinistra Vantaggi uso funzioni Sono più veloci dei cifrari a locchi, in genere Sono incluse nelle funzioni di lireria, in genere Non ci sono restrizioni sull esportazione dagli USA Attenzione alla costruzione! - H funzione iterata con funzione di compressione f Input M, dopo il padding n locchi X 1 X 2 X n X i H i-1 funzione di di compressione H 0 costante iniziale Computazione di H i = f(x i,h i-1 )... Valore H n = f(x n,h n-1 ) H i MAC(K,M)=H(K,M)! "! " # $% # $% & & # $% " '! 16 MAC(K,M)= H(M,K)! " ( ) * +, -,.+ ( " & & " 0!& & " " 17

4 RFC 2104, HMAC: Keyed-Hashing for Message Authentication, Feraio 1997 ANSI X9.71 Keyed Hash Message Authentication Code, 2000 FIPS 198, The Keyed-Hash Message Authentication Code (HMAC), pulicato 6 marzo 2002 Standard effettivo dal 6 agosto 2002 Draft pulicato 5 gennaio 2001, review e commenti pulici Funzioni Hash usate come lack-ox Utilizzo delle funzioni senza modifiche Facile camio della funzione (più veloci e più sicure) Facile utilizzo e gestione di chiavi 18 H: funzione iterata con inizialization vector IV MD5, SHA-1, RIPEMD-160, n: lunghezza del valore n=128, 160, M, suddiviso in L locchi di > n it ciascuno =512, ipad = yte (36 in esadecimale) ripetuto 8 volte opad = yte (5C in esadecimale) ripetuto 8 volte K: chiave segreta length(k) <, fai padding con 0 0 length(k) >, calcola H(K) di n it e fai padding con length(k)< length(k)< K 00 0 K length(k)> length(k)> H(K) 00 0 H(K) 00 0 # #!$%!$%!$%!$%! 22 23

5 0 Diverse volte si usano solo i primi t it dell Esempi: HMAC-SHA1-80 (solo i primi 80 dei 160 it) HMAC-MD5 (tutti i 128 it) Raccomandazioni: t n2 per una funzione di n it Comunque, t 80 (RFC 2104), t 32 (FIPS 198) Sicurezza dipende dalle proprietà della funzione usata da HMAC ha successo in un attacco ad HMAC allora: Può computare l output della funzione di compressione anche quando IV è casuale e sconosciuto all attaccante Può computare collisioni nella funzione anche quando IV è casuale e sconosciuto all attaccante Miglior attacco conosciuto [1995,1996] asato sul paradosso del compleanno Occorrono 2 ( ) 2 coppie (M,HMAC K (M)) Esempio: + 23 (( & 4 )5 6!1 1 Per attaccare HMAC, sono necessarie molte coppie M, HMAC L avversario non può calcolarle perché non conosce K Deve osservare un flusso di messaggi generati con la stessa chiave HMAC con MD5 è ragionevolmente sicura! Le funzioni HASH e MAC insieme all uso di cifrari asimmetrici garantiscono diverse proprietà durante lo scamio di messaggi: gretezza Autenticazione Del testo in chiaro Del testo cifrato 28 29

6 30 31